Politique de confidentialité

Responsable et contact

Le service Verhelia est édité par Verhelia. Pour toute question relative aux données personnelles ou pour exercer vos droits, vous pouvez nous contacter à l'adresse suivante : privacy@verhelia.fr.

Selon le contexte, Verhelia peut agir comme responsable du traitement pour l'exploitation du service et comme sous-traitant pour les contenus confiés par une organisation cliente.

Données traitées

Nous pouvons traiter les catégories de données suivantes :

• identité de compte : email, nom affiché, identifiant utilisateur, tenant et rôles ;
• données de workspace : documents, conversations, mémoires, décisions, actions et métadonnées associées ;
• données techniques : journaux applicatifs, adresses IP, événements de sécurité, identifiants de requête ;
• données de connecteurs mail personnels, uniquement après connexion volontaire : adresse email connectée, dossiers sélectionnés, métadonnées de messages, contenu textuel des messages synchronisés, fragments indexés et jetons OAuth chiffrés.

Finalités

Les données sont utilisées pour :

• fournir l'accès au service Verhelia et sécuriser les comptes ;
• organiser les espaces personnels et partagés ;
• permettre la recherche, la synthèse et l'assistance IA sur les contenus autorisés ;
• connecter une boîte Gmail, Outlook personnel ou Microsoft 365 à la demande de l'utilisateur ;
• indexer les contenus mail sélectionnés dans un espace privé afin de les retrouver, résumer des fils, extraire des actions ou proposer une réponse ;
• auditer les accès sensibles, diagnostiquer les erreurs et prévenir les abus.

Base légale

Les traitements peuvent reposer sur l'exécution du contrat ou des mesures précontractuelles, l'intérêt légitime de sécurité et d'administration du service, le respect d'obligations légales, et le consentement lorsque l'utilisateur connecte volontairement un service tiers comme Gmail ou Outlook.

Connecteurs Gmail et Outlook

La connexion d'une boîte mail personnelle est facultative. Verhelia demande uniquement des permissions de lecture nécessaires au MVP. Pour Gmail, le scope demandé est https://www.googleapis.com/auth/gmail.readonly. Verhelia ne demande pas de permission d'envoi et n'envoie pas de mail à votre place.

Les jetons OAuth sont stockés chiffrés côté backend. Les contenus synchronisés restent limités à l'espace personnel de l'utilisateur et ne sont pas accessibles depuis les workspaces partagés.

L'utilisation par Verhelia des informations reçues depuis les API Google respecte la politique Google API Services User Data Policy, y compris les exigences Limited Use. Ces données ne sont pas utilisées pour de la publicité, ne sont pas vendues et ne sont pas transférées à des tiers sauf lorsque cela est nécessaire pour fournir ou sécuriser le service, ou lorsque la loi l'exige.

Destinataires et sous-traitants

Les données sont accessibles uniquement aux personnes et systèmes autorisés. Verhelia peut s'appuyer sur des prestataires techniques pour l'hébergement, le stockage, les bases de données, l'indexation vectorielle, l'envoi d'emails de service, l'authentification et les modèles IA, dans la limite nécessaire à l'exploitation du service.

Conservation

Les données sont conservées pendant la durée nécessaire aux finalités décrites. Les contenus d'un compte mail connecté peuvent être supprimés lors de la déconnexion ou de la suppression de l'index mail. Les journaux de sécurité et d'audit sont conservés pendant une durée proportionnée aux besoins de sécurité, de preuve et de conformité.

Sécurité

Verhelia applique des contrôles d'accès par tenant, utilisateur et espace personnel, chiffre les jetons OAuth, journalise les actions sensibles et limite l'indexation mail aux contenus autorisés. Les recherches vectorielles appliquent des filtres obligatoires afin d'éviter les accès globaux ou inter-utilisateurs.

Vos droits

Vous pouvez demander l'accès, la rectification, l'effacement, la limitation ou la portabilité de vos données lorsque ces droits s'appliquent. Vous pouvez également retirer votre consentement à un connecteur mail en le déconnectant depuis Verhelia. Nous répondrons aux demandes dans les délais prévus par la réglementation applicable.

Vous pouvez aussi introduire une réclamation auprès de la CNIL : www.cnil.fr.